Passwort-Manager sind gemacht, um die Logins der Nutzer nicht nur zu speichern, sondern auch, um diese zu schützen. Offenbar war aber gerade Lastpass, ein populärer Passwort-Manager, von einer Lücke betroffen, die es Cyberkriminellen ermöglichte, das letzte vom Nutzer verwendete Passwort aus einem Browser auszulesen. Wie aus einem Bericht von
"The Verge" zu entnehmen ist, hat der Sicherheitsexperte Tavis Ormandy von Google Project Zero die Lücke entdeckt und am 29. August gemeldet.
Der Bug konnte mit Hilfe einer manipulierten Website ausgenutzt werden. Diese brachte die Browser Extension von Lastpass dazu, das zuletzt auf einer anderen Website verwendete Login samt Passwort zu nutzen, um sich auf der Seite anzumelden. Lastpass hat am 13. September einen Fix für den Bug zur Verfügung gestellt, der automatisch installiert werden sollte. Dennoch sollten Nutzer von Lastpass sicherstellen, dass sie die aktuelle Version 4.33.0 verwenden, die nicht vom Bug betroffen ist. Gemäss Lastpass sollen nur die Browser Chrome und Opera von der Lücke betroffen gewesen sein.